Berechtigungsobjekte der PFCG-Rolle
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Konzeptuell wird zwischen den Benutzertypen Database User und Technical User unterschieden. Database User sind Benutzer, die eine reale Person in der Datenbank repräsentieren. Sobald ein Database User gelöscht wird, werden zugleich alle (!) Datenbankobjekte, die von diesem Database User angelegt worden sind, ebenfalls gelöscht. Technical User sind Benutzer, die technische Aufgaben in der Datenbank wahrnehmen. Beispiele hierzu sind die Benutzer SYS und _SYS_REPO, mit denen administrative Aufgaben, wie z. B. die Erzeugung eines neuen Datenbankobjekts oder das Zuweisen von Privilegien, ermöglicht werden.
Sie weisen einem Dialogbenutzer einen Referenzbenutzer zu, indem Sie den Referenzbenutzer in der Transaktion SU01 auf der Registerkarte Rollen im Feld Referenzbenutzer für zusätzliche Rechte eintragen. Sollten Sie die Zentrale Benutzerverwaltung (ZBV) nutzen, gilt die Zuordnung für alle angeschlossenen Systeme. Existiert der Referenzbenutzer in einem der Systeme nicht, wird die Zuordnung ignoriert. Durch den Einsatz von Referenzbenutzern entstehen allerdings auch Risiken. So können leichter Summationen von Berechtigungen auftreten, da es schwierig ist, den Überblick über die zugeordneten Berechtigungen zu wahren. In SAP NetWeaver AS ABAP 7.0 und höher werden Referenzbenutzer in den Auswertungen der Reports des Benutzerinformationssystems berücksichtigt.
Prüfung auf Programmebene mit AUTHORITY-CHECK
Berechtigungen für bestimmte Funktionen zu vergeben, die in SAP CRM über externe Services aufgerufen werden, erfordert einige Vorarbeiten. Anwender, die in SAP CRM arbeiten, verwenden den SAP CRM Web Client, um CRM-Funktionen aufzurufen. Damit dies reibungslos funktioniert, müssen Sie dem Anwender eine CRM-Business-Rolle zuweisen, die alle für den Nutzer notwendigen CRM-Funktionen zur Verfügung stellt. Wenn die Rolle nur für den Zugriff auf bestimmte externe Services, unabhängig vom Customizing, berechtigen soll (bzw. nur für die im Customizing angegebenen externen Services), wird es etwas kniffliger. Alle anklickbaren Elemente im SAP CRM Web Client, wie Bereichsstartseiten oder logische Links werden durch CRM-UI-Komponenten dargestellt. Diese UI-Komponenten sind, technisch gesehen, BSP-Anwendungen. Durch einen Klick auf eine solche Komponente erhält der Anwender Zugriff auf bestimmte CRM-Funktionen. Diese UI-Komponenten werden in den Rollen als externe Services dargestellt. Der Zugriff auf diese UI-Komponenten muss über PFCG-Rollen explizit erlaubt werden, ähnlich wie bei der Berechtigung für den Zugriff auf bestimmte Transaktionen.
Kundeneigene Programme sollten wie Standardanwendungen mit Berechtigungen geschützt werden. Welche Regeln sollten Sie dabei beachten? Im Rahmen von Einführungsprojekten werden meist reichlich kundeneigene Programme erstellt, ohne dass sie bei deren Ausführung einer Berechtigungsprüfung unterzogen werden. Für Ihre Programme sollten Sie standardmäßig kundeneigene Berechtigungsprüfungen erstellen und diese auch entsprechend verwalten.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Optional ist der nächste Schritt, in dem Sie Funktionsgruppen zu den Funktionsbausteinen ermitteln.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Der SAP-Hinweis liefert darüber hinaus den Analysereport SUSR_TABLES_WITH_AUTH, der Tabellenberechtigungen für Anwender oder Einzelrollen angibt.